Ende März fanden die Autoren der französischen Hacker-Website "Kitetoa.com" auf einem Server des Online-Vermarkters zwei Dateien, die als Verursacher von diversen Sicherheitslücken im "Internet Information Server" (IIS) von Microsoft gelten. Das Pikante daran: Die Sicherheitslücken sind bereits seit Jahren bekannt. Mindestens drei Doubleclick-Server sollen von den Angriffen betroffen sein. Zwei Tage später entdeckten die Kitetoa-Spezialisten ähnliche Sicherheitslöcher auf der Website von Abacus Direct, einer auf das Sammeln von Offline-Daten spezialisierten Tochter von Doubleclick.

Laut Kitetoa.com sind die beiden Hacker-Tools auch schon vor zwei Jahren hochgeladen worden. Die Firma Doubleclick, die die Sicherheitslücken mittlerweile bestätigt hat, streitet dies jedoch ab. Ihren Angaben zufolge haben die beiden Hacker-Angriffe erst vergangenen Monat stattgefunden. Zudem sei das Verzeichnis, in dem die Dateien entdeckt wurden, nicht berechtigt, sie auszuführen. Die Angreifer hätten den Doubleclick-Server daher zu keinem Zeitpunkt unter Kontrolle gehabt, und es seien keine Personendaten gestohlen worden. Bei Abacus.com handle es sich ohnehin um eine Test-Site, die nur mit fiktiven Informationen arbeite. Alle Sicherheitslücken seien inzwischen behoben.

Die zeitliche Ablauf der Attacken auf Doubleclick ist reichlich widersprüchlich: Ein von Kitetoa veröffentlichter Screenshot beweist zwar, dass eine der Dateien im April 1999 erstellt und hochgeladen wurde. Dieses Datum kann aber eigenlich nicht stimmen, da das entsprechende Hacker-Tool erst im November letzten Jahres programmiert wurde. Doch abgesehen davon, ob die Angriffe auf Doubleclick vor zwei Jahren oder im März stattfanden und ob tatsächlich Informationen gestohlen worden sind: Wirklich problematisch ist die Tatsache, dass eine seit zwei Jahren bekannte Sicherheitslücke ausgerechnet in einem System aktiv ist, das mit hochsensiblen Personendaten hantiert.